xss(dvwa)实战问题(思路)

针对xss漏洞 基础的语言测试用的语句还是要基本的了解，不然你都不会测试！

实战策略 “ 见框就插、改数据包不可见部分、改URL参数、js分析（百度吧） ”

实验参照freebuf-xss实战详解，本文为实战分析：

链接记录：

http://www.freebuf.com/articles/web/40520.html

学习任何一种依靠交互式的攻击，先尝试输入对应的编程语言关键词是第一步：

就像sql注入输入了and、union 这里我就先试试,

LOW

看到一个不知他是干嘛的框时，输入个 1 还是不会出现问题的

输入个 1 发现就是返回个 hello 1  ；现在知道存在反馈机制

那么来点侵略性的  ；有些发现，语句被执行执行了

这么基础的语言都没有过滤，那么接下来就是javascript 语言表演时间！

xss语句福利：http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html

'>在文档中发现这么一句，猜测xss的防范应该与sql注入有异曲同工之妙，那绕过也就存在可能。

MEDIUM

输入个 两兄弟没作用了，根据sql注入猜测变换大小写

输入     Victory

接下来又是javascript表演时间

HIGH